端口绑定是什么意思?
我是一个电信的外线施工人员,经常碰到要为用户解绑端口的情况,但是那么久了却不知道
端口绑定是怎么回事?
端口绑定,绑的是什么?我不是数据室的人,所以不懂。解绑又是怎么解的,绑定是绑设备
上么
不知道楼主说的是不是宽带上网的端口绑定?如果是的话,我可以告诉你。宽带上网的端口绑定是指用户从某一个DSLAM的某个端口上线,DSLAM需要启用PPPoE+功能,启用后,DSLAM侦听到PPPoE协议流量,自动会将用户上到DSLAM的端口信息通过PPPoE+协议通告给BRAS,BRAS再将DSLAM上到BRAS的端口信息也封装进PPPoE+协议包里面。再通过Radius 协议属性通告给Radius服务器。Radius服务器上存储着用户的端口信息,与BRAS上报的用户端口信息进行比较,如果符合,用户即可上网,不符合就不让用户上网。比如,用户从某个DSLAM的第1个业务槽的第2个口上线,DSLAM会通过PPPoE+把该信息报给BRAS,DSLAM 连到BRAS的第3个业务槽的第5个口,BRAS也会到该端口信息封装好加上DSLAM送给它的用户端口信息一并通过Radius协议通告给Radius服务器,Radius服务器处存储着用户的端口信息,与BRAS上送的端口信息做比较,如果相符即允许用户上网,否则,就禁止用户上网。端口绑定可以访止别人偷了你的帐户信息后,到别处上网。如果没有端口绑定,任何人偷了你的帐户信息都可以随便找个别的什么地方上网,有了端口绑定则不同了,即使他偷了你的帐户信息跑到别处上网,DSLAM、BRAS上报的端口信息就会与Radius 服务器上的信息不符,他也就上不了网了。
还有DHCP option82也可以实现类似功能;中国电信还推出了一个VBAS协议,也可能实现类似功能。
Netinfo S ecurity /2005.1 55 随 着教育信息化的不断深入,校园网的建设已经非常广泛,而且规模和投资也在不断的扩大,但在广大师生尤其是大学里的师生在使用校园 网的过程中,发现IP地址冲突的现象极其严重。 图1:一般校园网结构图 对于大学校园网来说,一般是一个楼宇一个网段,而且也是一个管理单元,该楼宇内的网络由楼宇所在的院系负责,根据楼宇的大小,存在着两种组网形式,如上图所示的楼宇1和楼宇2,在楼宇1中,一个房间对应一个或多个三层交换端口,而在楼宇2中,一个房间对应一个或多个二层交换端口,我们要做的就是一个房间内的终端只能用固定的几个IP地址,也就是一个交换机(二层或三层)端口绑定多个IP地址,根据技术手段的不同,一般存在着以下几种方法。 通过访问管理功能实现 现在,有些三层交换机提供了访问管理功能,该功能可以直 接控制某个端口可以被哪些IP地址访问,该功能只有把该三层交换机当成网关的情况下才能发挥作用,而且,依然会出现地址冲突的现象,只不过在非法端口使用的用户将无法进行跨网段访问,下面以华为3526为例,具体配置过程如下: [S3526]am enable[S3526]interface vlan 1 [S3526-Vlan-interface1]ip add 192.168.0.1 255.255.255.0 #该命令使192.168.0.1成为与该交换机相连的计算机的网关[S3526]interface eth 0/10 [S3526-Ethernet0/10]am ip-pool 192.168.0.2 192.168.0.10 192.168.0.15 #该命令保证只有其中的三个地址能够通过该端口进行跨网段访问 通过访问列表实现 最初的访问列表只能在第三层发挥作用,现在随着技术的不断发展,访问列表也可以在第二层发挥作用了,现在某些交换机可以对三层地址和二层地址的访问列表进行与运算,从而达到端口IP地址绑定的目的,下面以华为3526E为例,具体配置过程如下: [S3526E]acl num 10 #定义基本访问列表 [S3526E-acl-basic-10]rule 0 deny source any [S3526E-acl-basic-10]rule 1 permit source 192.168.0.2 0 #允许192.168.0.2访问,如果有多个,可以多定义几条规则[S3526E]acl num 210 #定义二层访问列表 [S3526E-acl-link-210]rule 0 deny ingress interface e0/10 egress any[S3526E-acl-link-210]rule 1 permit ingress interface e0/10 egress any[S3526E]packet-filter ip-group 10 rule 0 link-group 210 rule 0 #首先禁止所有计算机访问 [S3526E]packet-filter ip-group 10 rule 1 link-group 210 rule 1 #允许某个固定的IP访问 这样一来,就在不起用三层转发功能的情况下实现了IP地址 与交换机端口的绑定,上面的配置只允许一个地址通过,只要用户需要,我们可能设置多条规则并使用多条packet-filter命令来允 交换机端口与IP地址的绑定 北京师范大学信息科学学院 傅骞
1查看交换机的MAC地址表; Switch#show mac-address Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.c7c7.229 2 DYNAMIC Fa0/1(动态学习的MAC地址) 1 0060.5c5a.7bae DYNAMIC Fa0/4 1 0090.0ce9.8c00 DYNAMIC Fa0/2 1 00d0.baeb.e344 DYNAMIC Fa0/3 2将上面的MAC地址表和交换机端口进行绑定; Switch#config t 进入全局配置模式 Switch(config)#interface range FastEthernet 0/1-4 多接口的配置模式0/1-4 Switch(config-if-range)#switchport mode access 将交换机的端口设置成access,明确其与计算机相连 Switch(config-if-range)#switchport port-security 启用交换机端口安全 switchport port-security violation shutdown 违反安全规则讲端口关闭 Switch(config-if-range)#switchport port-security mac-address sticky 将交换机的端口 与MAC地址表进行绑定 3再次查看MAC地址表; Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.c7c7.229 2 Fa0/1
VLAN端口的MAC地址绑定 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。 一、实验目的 1.掌握cisco-3550基于VLAN端口的MAC地址绑定 二、实验内容 1.把PC2的MAC地址帮定在交换机指定端口上 五、实验步骤 方案:基于端口的mac地址绑定 1.启动交换机,并进入到特权模式 Switch>enable Switch# 2.恢复到厂商设置 Switch#erase startup-config 擦除配置 Switch#reload Switch>en Switch#conf t switch#show vlan
3.pc1 插入交换机第5口,pc2插入交换机第9口. 4.把pc1 MAC地址与vlan 1 的第5口进行绑定。 Switch#conf t Switch(config)#mac-address-table static 000C.7611.817F vlan 1 interface f0/5 Switch(config)#exit Switch#show mac-address-table //显示mac-address-table状态 5. 把pc2 MAC地址与vlan 1 的第9口进行绑定。 操作同上大家练习一下 6.配置vlan1的ip地址,操作参照上节课内容 Switch#config termainl Switch(config)#int vlan 1 (进入VLAN 1) Switch(config-vlan)#ip address 192.168.3.1 255.255.255.0 (设置Vlan1的IP) Switch(config-vlan)#no shutdown 激活该vlan Switch(config-vlan)#exit Switch#show running-config (查看正在起作用的命令) 7.验证结果: pc1 ip为192.168.3.3 网关为:192.168.3.1 pc2 ip为192.168.3.2 网关为:192.168.3.1 pc1 与 pc2可以互通,如果把pc1插入交换机其它端口,则不能互通。
模块六 二层交换机端口与MAC 地址绑定 【场景构建】 在日常工作中,经常会发生用户随意插拔交换机上的网线,给网管员在网络管理上带来一定的不便。同时也会出现在一个交换机端口下连接另一个Hub 或交换机,导致网络线路的拥堵。 当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机。 希望通过一定的方法,固定每台计算机连接的交换机端口,方便网管员日常的维护与更新。 [实验目的] 1、 了解什么是交换机的MAC 绑定功能; 2、 熟练掌握MAC 与端口绑定的静态、动态方式。 【知识准备】 通过端口绑定特性,网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。进行绑定操作后,交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。 我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC 地址确定允许访问的设备;允许访问的设备的MAC 地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC 地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。 【实验一】 二层交换机端口静态绑定MAC 地址 1.1 实验设备 1、2950-24交换机1台 2、PC 机2台 3、交叉线1根 4、直通网线2根 1.2 组网图 PC1 PC2 SW0 1.3 实验设备IP 地址及要求
交换机端口与MAC绑定 一、实验目的 1、了解什么是交换机的MAC绑定功能; 2、熟练掌握MAC与端口绑定的静态、动态方式。 二、应用环境 1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。 2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。该端口可以允许其他MAC 地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。 三、实验设备 1、 DCS-3926S交换机1台 2、 PC机2台 3、 Console线1根 4、直通网线2根 四、实验拓扑 五、实验要求 1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。 2、在交换机上作MAC与端口绑定; 3、 PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。 4、 PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。 六、实验步骤 第一步:得到PC1主机的mac地址 Microsoft Windows XP [版本 5.1.2600]
实验十八、交换机端口与MAC绑定 一、 实验目的 1、了解什么是交换机的MAC绑定功能; 2、熟练掌握MAC与端口绑定的静态、动态方式。 二、 应用环境 1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员 的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很 随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的 大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定,也 就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到 网络上,如果这台主机移动到其他位置,则无法实现正常的连网。这样做看起来似 乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基 于安全管理的角度考虑,它却起到了至关重要的作用。 2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定 后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。该端口可以 允许其他MAC地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该 端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个 端口进入。 三、 实验设备 1、DCS-3926S交换机1台 2、PC机2台 3、Console线1根 4、直通网线2根 四、 实验拓扑
五、 实验要求 1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为 192.168.1.102/24。 2、在交换机上作MAC与端口绑定; 3、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。 4、PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。 六、 实验步骤 第一步:得到PC1主机的mac地址 Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. C:\>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : xuxp Primary Dns Suffix . . . . . . . : https://www.doczj.com/doc/c66384784.html, Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti on Physical Address. . . . . . . . . : 00-A0-D1-D1-07-FF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes Autoconfiguration IP Address. . . : 169.254.27.232 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : C:\> 我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。 第二步:交换机全部恢复出厂设置,配置交换机的IP地址 switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0 switch(Config-If-Vlan1)#no shut switch(Config-If-Vlan1)#exit switch(Config)# 第三步:使能端口的MAC地址绑定功能 switch(Config)#interface ethernet 0/0/1 switch(Config-Ethernet0/0/1)#switchport port-security switch(Config-Ethernet0/0/1)# 第四步:添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1
交换机端口安全之——端口地址绑定和端口隔离 【实验目的】 1、掌握交换机静态端口绑定、动态端口绑定的原理和配置方法,并灵活运用。 2、了解交换机端口隔离在网络安全中所起作用,掌握其配置方法。 3、掌握端口隔离和VLAN划分的区别。 【实验环境】 H3C二层交换机S3100-16TP-EI、S3100-16C-SI,PC机3台,标准网线若干。 【引入案例1】 办公室主任的电脑配置在一个特定的地址段中,公司对该地址段开放了特殊的上网权限。有一天,主任的电脑上弹出了“IP地址冲突”的对话框。有员工盗用了他的IP上网浏览。 【案例分析】 当网络的布置很随意,并且没有任何安全设置的时候,用户只要插上网线,在任何地方都能够上网,这虽然使正常情况下的大多数用户很方便很满意,却很容易出现案例1中用户盗用IP的现象。 解决上述问题的一个较好的办法是将用户主机和接入交换机的端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常访问网络。通过绑定技术,建立起“用户主机-交换机端口”的对应关系,在安全管理上起着至关重要的作用。 【基本原理】 网卡的MAC地址的唯一性确定了MAC地址在网络中代表着计算机身份证的作用。为了安全和方便管理,网络管理员将对用户计算机的MAC地址进行登记,并将MAC地址与接入交换机的端口进行绑定。MAC地址与交换机端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常上网。 MAC地址和交换机端口绑定后,该交换机端口仍然可以允许其他MAC 地址的数据流通过。实际上,一些工具软件和病毒很容易伪造计算机的MAC
学校校园网络IP地址的管理及IP、MAC、端口的绑定 摘要:文章以龙岩市农业学校局域网为实例研究对象,介绍了IP地址的管理及IP地址的绑定技术。 关键词:IP地址;MAC地址;ARP协议;端口;绑定 1IP地址相关知识介绍 IP地址也可以称为互联网地址或Internet地址,是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己,IP地址必须唯一。IP地址的表示: 4个以小数点隔开的十进制整数就是一个IP地址。每部分的十进制的整数实际上由8个二进制数组成。IP的结构和分类:在IP地址的这四部分中,又可以分成两部分,一部分是网络号Network(用来标识不同的网络),一部分是主机号(标识用于特定网络区域内的某台主机)。IP地址的网络部分是由IANA(Internet地址分配机构)统一分配的,而主机位IP地址是由得到网络地址的机构或组织自行分配。我们把IP地址分成A、B、C、D、E类:A类地址,第一组表示网络,后面三组表示主机。B类地址,第一,二组表示网络,后面两组表示主机。C类地址,第一,二,三组表示网络,最后一组表示主机。为了确定IP地址的网络号和主机号如何划分,使用到了掩码。也就是说在一个IP地址中,通过掩码来决定哪部分表示网络,哪部分表示主机。大家规定,用“1”代表网络部分,用“0”代表主机部分。也就是说,计算机通过IP地址和掩码才能知道自己是在哪个网络中。IP地址的获得:有两种方式,一种是静态方式,一种是动态方式。 2IP地址及其管理 IP地址管理是成功的逻辑设计的基础。任何一台在局域网中“活动”的工作站,它都是通过IP地址这个“身份”与其他工作站进行沟通交流的,只要我们能安全妥善地管理好局域网中的所有IP地址,就能确保局域网始终处于高效运行状态之中。学校从组建校园网以来一直采用用户静态IP地址分配。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户IP-MAC-接入交换机端口的绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。学校统一规划分配IP地址给每个终端机器,并建立IP地址分配登记表,统计每个终端机器网卡的MAC地址,建立IP地址与MAC地址对照表。在交换机上采用VLAN(Virtual LAN,虚拟局域网)技术解决广播带来的不良影响。我们学校划分VLAN的方式是基于接口来划分VLAN。
在模拟器中将设备如下图中连接起来并配置IP: PC0----→ fa0/1 (192.168.10.10/24)PC1----→ fa0/11 (192.168.10.11/24)PC1----→(备用) (192.168.10.12/24) 下面我们用PC1pingPC0如下图:
可以看到是通的,我们使用show mac-address-tablel来看看: Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 000a.416e.5768 DYNAMIC Fa0/11 1 0010.11a0.421a DYNAMIC Fa0/1 可以看到两个端口所对应的两台PC的MAC类型是动态的 下面我们来配置交换机: Switch#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport port-security mac-address sticky (自动绑定MAC与端口)Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...
IP/MAC/PORT端口绑定 最近,笔者开发了计算机开机入网监控管理程序(实现外单位机器接入我单位内联网络、内部员工非上班时间未经批准连接内联网络实时报警信息发送到部门负责人手机上),使用环境架构如图1所示。在开发过程中用到交换设备的IP、MAC、PORT端口绑定技术。 IP、MAC、PORT绑定功能 1.便于客户端接入管理 客户端须提出申请,经网管人员批准并配置设备后,方能接入网络,避免未经许可的接入。 2.限制客户端接入 即使客户端已通过某个端口接入网络,但必须是通过申请的电脑才能接入。如果网卡没换而电脑换了,此法无效,因此只适用于粗懂电脑的人。 3.限制许可连接电脑的物理位置 仅许可某个IP或某范围IP可以对服务器进行连接,绑定功能还可以限制其物理位置,在一定程度上可以防止黑客冒用IP对服务器进行欺骗攻击。
4.迅速查找客户物理位置 只要得知IP地址,就可查到客户端位置。 IP、MAC、PORT这三者的绑定是用了两个原理,一个是静态FDB (Forwarding DataBase),另一个是IP ACL(internet protocol access control list)。 交换机中保存着一份FDB转发表(交换机从它的所有端口接收MAC地址信息,形成MAC地址表并维护它。当交换机收到一帧数据时,它将根据自己的MAC地址表来决定是将这帧数据进行过滤还是转发。此时,维护的这张MAC表就是FDB地址表。如果收到数据帧的目的MAC地址不在FDB地址表中,那么该数据将被发送给除源端口外该数据包所属 VLAN的其他所有端口)。这个FDB表为交换机如何处理一个收到的数据报文提供依据,默认情况FDB是动态的,当某条FDB表项存在超过老化时间Aging time(不同交换设备时间不等)后就会老化,从FDB表中删除,以防FDB过于庞大。如果老化时间(Aging time)被设为0,FDB是静态的,不允许交换机随意的、自动的更改FDB,这就实现了某些端口与某些MAC地址的固定对应,而不在此对应范围内的客户机无法收到从交换机来的数据包。使用静态FDB就实现了MAC、端口的绑定。 使用IP ACL(访问控制列表)可以拒绝或允许某个IP或某范围内的IP通信,如果将ACL指定到某个端口上,就可以指定通过某个
Cisco中IP地址与MAC地址绑定总结 IP地址与MAC地址的关系:IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARJ 缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。 在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。 为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM 中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
实验三交换机端口的绑定配置 当网络部署完毕后,任何用户在网络的任何位置只要插上网线就能够上网。当机器中毒而引发大量发送广播包时,网络管理员应尽快将该机器从网络中清除出去。为了能够快速定位主机并清除,需要将交换机的端口与主机的MAC地址绑定,即该主机只能通过特定的端口传送数据,如果交换机端口上更换了主机,则该主机不能连接到网络上,从而保证网络的安全性。 一、实验目的 1.掌握对交换机端口进行配置的命令。 2.掌握配置交换机端口安全性的命令。 3.掌握测试交换机端口安全性的方法。 二、原理概述 交换机端口安全性,是指配置交换机某端口能够连接的终端数量,当超过该数量时且连接的计算机不是指定的计算机时,该端口按照安全性指定违反操作进行工作。 三、实验内容 1.掌握以太网交换机单个端口和多个端口的配置命令。 2.掌握交换机MAC地址表的显示和操作命令。 3.掌握交换机的端口安全性配置命令。 4.掌握交换机配置文件保存命令 四、实验环境 1.用于配置和测试的三台计算机(安装Windows 操作系统); 2.交换机一台(本实验中采用华为的“S5700-28C-HI”系列的交换机); 3.直连网线若干根; 4.CTL串行通信线一根。 实验拓扑结构如图6-5所示。 图6- 1 实验拓扑
五、实验步骤 1. 将交换机的GE0/0/2、GE0/0/3 和GE0/0/4分别连接主机PC1、PC2和PC3。并且将PC1、PC2和PC3的IP地址分别设置为19 2.168.0.2,192.168.0.3和192.168.0.4,子网掩码分别配置为:255.255.255.0,默认网关的地址为:192.168.0.1,DNS的地址为192.168.0.254。 2. 配置交换机的密码 ⑴利用PC1的超级终端,进入交换机,使用命令system-view ,进入到交换机的系统视图。 ⑵使用super password cipher 456 ,设置交换机的用户super密码为456 ⑶使用quit ,退出系统视图。 3. 显示各PC机的MAC地址 在各PC机的命令状态下,使用命令i pconfig显示各PC的MAC地址。如在本例中,PC1, PC2和PC3的IP地址分别为:5489-9826-3FD9、5489-9836-1012、5489-982A-4651。 4. 配置交换机的单个端口。 ⑴使用命令system-view,进入到交换机的系统视图。 ⑵用命令:interface GigabitEthernet 0/0/2 ,进入端口GE0/0/2的配置模式。 ⑶使用命令undo negotiation auto先关闭自动协商。 ⑷使用命令speed 100设置端口速度为100M。 ⑸使用命令display interface GigabitEthernet 0/0/2 ,查看该端口的状态。 5. 配置交换机的多个端口,通过配置端口组,对多个端口操作。 ⑴使用命令port-group v1,设置端口组名为v1. ⑵使用命令group-member g 0/0/3 to g 0/0/4,对端口GE0/0/3-GE/0/0的配置模式。 ⑶使用命令undo negotiation auto先关闭自动协商。 ⑷使用命令speed 100设置端口速度为100M。 6. MAC地址表的操作 ⑴用命令dis mac-address显示交换机当前的MAC地址列表。 ⑵使用命令undo mac-address,清除MAC地址列表。 7. 分别设置端口GE0/0/2、GE0/0/3 和GE0/0/4的VLAN 属性 ⑴使用命令int g 0/0/2,进入到端口GE0/0/2的设置。 ⑵使用命令port link-type access ,设置GE0/0/2端口的状态。 ⑶使用命令quit ,退出系统视图。 ⑷使用命令vlan 1 ,进入VLAN 1 ⑸使用port g 0/0/2,设置该端口能够存取VLAN 1的信息。 ⑹分别用以上命令设置端口GE0/0/3和GE0/0/4。 8. 设置端口GE0/0/4的安全性。 ⑴使用命令int g 0/0/4进入到端口GE0/0/4的安全性设置。 ⑵使用命令port-security enable激活该端口的安全性设置。 ⑶使用user-bind static mac-address 5489-982A-4651,设置该端口与PC3的地址进行绑定。 ⑷使用port-security max-mac-num 1设置该端口最多允许一台主机使用。 ⑸使用命令port-security protect-action shutdown,设置当违反端口安全性时交换机执行的操作。 9. 使用命令ping验证主机PC3与主机PC1、PC2之间的连通性,并记录实验结果。(可通) 10.删除端口GE0/0/4与主机PC3间的连线(注意不要删除主机PC3),重新拖动一台新的 主机PC4到该环境中,并将新主机PC4连接到交换机的端口GE0/0/4上,配置PC4的IP地址为192.168.0.4/24,网关地址和DNS地址为192.168.0.1。用ping命令验证PC4与
MAC地址与交换机端口绑定防黑客原理与方法详解 文章导读:在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址和交换机端口绑定,不过MAC和交换机端口快速绑定的具体实现的原理和步骤却少有文章。 在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址和交换机端口绑定,不过MAC和交换机端口快速绑定的具体实现的原理和步骤却少有文章。 寻修网https://www.doczj.com/doc/c66384784.html,在此先解释一下,我们通常说的MAC地址和交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让你设置一个端口只允许一台或几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既能手工设置,也能从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或禁用该端口等等。 一、首先必须明白两个概念: 可靠的MAC地址。设置时候有三种类型。 静态可靠的MAC地址:在交换机接口模式下手动设置,这个设置会被保存在交换机MAC 地址表和运行设置文件中,交换机重新启动后不丢失(当然是在保存设置完成后),具体命令如下: Switch(config-if)#switchport port-security mac-address Mac地址 动态可靠的MAC地址:这种类型是交换机默认的类型。在这种类型下,交换机会动态学习MAC地址,不过这个设置只会保存在MAC地址表中,不会保存在运行设置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。 黏性可靠的MAC地址:这种类型下,能手动设置MAC地址和端口的绑定,也能让交换机自动学习来绑定,这个设置会被保存在MAC地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址能手动设置,不过CISCO官方不推荐这样做。具体命令如下: Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端口得到MAC地址后,会自动生成一条设置命令
实验六交换机的VLAN配置-MAC地址绑定端口 实验目的: 1、了解什么是交换机的MAC绑定功能; 2、熟练掌握MAC与端口绑定的静态方式。 实验环境:Packet tracer软件 实验内容: 1、把PC机的MAC地址绑定到交换机某个端口上 基本原理: 考虑到交换机使用的安全性,可以使用端口绑定技术,防止陌生计算机接入,避免了人为随意调换交换机端口。 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机 执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无 法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN就必须不停地配置。 实验步骤: 一、把MAC地址绑定到交换机的端口 PC-PT PC-PT PCI PC2 实验拓扑如上图。PC1: IP : 192.168.3.3 MAC 地址:000C.7611.8157 PC2 IP : 192.16832 MAC 地址:000C.7611.817F 注:添加主机时,默认有一个MA地址,在config选项卡中能看到,或者在运行里输入 命令ipconfig /all 查看。建议用默认的MA(地址。 1 ?启动交换机,并进入到特权模式 Switch〉enable Switch# 2 ?恢复到厂商设置 Switch# erase startup-config 擦除配置 Switch# reload Switch> en switch# show vlan
设置MAC与端口绑定的步骤和注意事项: 1.进入交换机后先要清除MAC地址表,命令如下: Switch#clear mac-address-table (注意,如果不清除MAC地址表项会导致绑定失败) 然后查看MAC地址表, Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- MAC地址表里这时没有任何内容。 2.进入需要绑定的接口: Switch#conf t Switch(config)#interface fastEthernet 0/1 3.开始设置绑定前,需要先设置端口的模式, Switch(config-if)#switchport mode access 如果不设置端口模式为access,则开启端口安全的时候会收到如下提示:Command rejected: FastEthernet0/1 is a dynamic port. 4.设置端口绑定: Switch(config-if)#switchport port-security使能端口安全Switch(config-if)#switchport port-security mac-address 0000.0000.0001 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 端口绑定MAC地址
此时再查看MAC地址表会发现0000.0000.0001(查看主机的MAC地址)被绑定在了fa 0/1端口上 Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0000.0000.0001 STATIC Fa0/1 到此端口绑定成功。 5. 设置端口上安全地址的最大个数 Switch(config-if)#switchport port-security maximum ? <1-132> Maximum addresses Switch(config-if)#switchport port-security maximum 1 安全地址数为1 6.当为例产生时,可设置一下几种处理方式 Switch(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包 restrict:当违例产生时,将发送一个通知Trap shutdown:当违例产生时,将关闭端口并发送一个通知 默认的模式是shutdown。 (如果端口由于非授权PC接入导致端口关闭,管理员需要进入到该接口输入shutdown,然后no shutdown才能重新开启该端口。推荐使用protect模式。)
一、原理 1、首先必须明白两个概念:可靠的MAC地址。设置时候有三种类型。 静态可靠的MAC地址:在交换机接口模式下手动设置,这个设置会被保存在交换机MAC地址表和运行设置文件中,交换机重新启动后不丢失(当然是在保存设置完成后),具体命令如下: Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址:这种类型是交换机默认的类型。在这种类型下,交换机会动态学习MAC地址,不过这个设置只会保存在MAC 地址表中,不会保存在运行设置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。 黏性可靠的MAC地址:这种类型下,能手动设置MAC地址和端口的绑定,也能让交换机自动学习来绑定,这个设置会被保存在MAC 地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址能手动设置,不过CISCO官方不推荐这样做。具体命令如下:Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端 口得到MAC地址后,会自动生成一条设置命令 Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。 2、违反MAC安全采取的措施:当超过设定MAC地址数量的最大值, 或访问该端口的
备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MA 地址被设置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种:保护模式(protect):丢弃数据包,不发警告。. 限制模式(restrict):丢弃数据包发警告,发出SNMP trap,同时被记录在syslog日志里。 关闭模式(shutdown):这交换机默认模式,在这种情况下端口即时变为err-disable状态,并且关掉端口灯,发出SNMPtrap,同时被记录在syslog日志里,除非管理员手工激活,否则该端口失效。 具体命令下: Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } 下面这个表一就是具体的对比Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error message Shuts down port protect No No No No No restrict No Yes Yes No No shutdown No Yes Yes No Yes 表一https://www.doczj.com/doc/c66384784.html, 设置端口安全时还要注意以下几 个问题: 端口安全仅仅设置在静态Access端口;在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或被动态划给一个VLAN的端口上不能设置端口安全功能;不能基于每VLAN设置端口安全;交换机不支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时设